Je suis un penseur simple, alors commençons simplement.
En tant que responsables de la sécurité, nous partageons tous les mêmes trois vérités :
- Nous voulons assurer la sécurité de notre personnel et de notre marque.
- Notre plus grande douleur est l'incertitude.
- Nous devons mettre fin aux violations.
Voilà. Trois vérités humaines qui tranchent avec le bruit des diapositives des vendeurs, des rapports d'analystes et des présentations de produits.
Mais le problème est là : nos réseaux modernes ont dépassé nos anciennes façons de penser.
Le réseau moderne = une surface d'attaque géante
Il fut un temps où le "réseau" se résumait à un centre de données et à quelques bureaux. Vous aviez un périmètre. On construisait un fossé. On plaçait des EDR sur les points d'extrémité pour empêcher les attaquants d'entrer.
Ce monde a disparu.
L'entreprise moderne d'aujourd'hui est hybride, sans frontières et tentaculaire :
- Centres de données et charges de travail cloud .
- Plateformes SaaS et outils de collaboration.
- Les travailleurs à distance et les SASE.
- IoT et OT qui n'ont jamais été conçues avec la sécurité à l'esprit.
Les attaquants ne voient pas dans ce chaos des silos de points d'extrémité, de cloud ou d'identités. Ils voient une surface d'attaque géante et connectée. Et leur objectif est simple : pénétrer dans votre réseau.
Le Pitchfork des Attackers
Voici l'essentiel : les attaquants n'ont pas besoin d'un arsenal sophistiqué pour y parvenir. Ils maîtrisent les trois piliers de ce que j'appelle la fourche des attaquants:
- Désactivez vos contrôles.
- Évitez vos défenses.
- Trompez vos outils.
C'est tout. Avec cette fourche, ils peuvent contourner la prévention des endpoint , passer l'EDR et opérer dans votre environnement hybride sans être détectés.
Si vous pensez que cela semble dramatique, regardons les données :
- 50 % des violations majeures en 2025 impliquent des attaquants qui contournent les contrôles des endpoint
- 40 % des violations couvrent plusieurs domaines - endpoint, réseau, cloud et identité combinés.
- Et selon CrowdStrike, le temps moyen entre l'infiltration et le mouvement latéral est de 48 minutes.
Je pose donc une question évidente : si des attaquants peuvent désactiver, éviter ou tromper votre EDR en moins d'une heure, êtes-vous vraiment en sécurité ?
Pourquoi le signal est-il mauvais ?
Si vous êtes un analyste SOC, vous connaissez déjà la réponse. Nous avons investi dans des piles solides :
- Pare-feu, IDS/IPS sur le réseau.
- IAM, PAM, MFA sur l'identité.
- CASB, CSPM dans le cloud.
- EPP, EDR sur les points finaux.
Tous solides. Tous nécessaires. Mais aussi... tous cloisonnés. Chaque outil génère des alertes. Chacun ajoute du bruit. Les analystes se noient dans les faux positifs. Et le "signal" dont nous avons besoin pour détecter les véritables attaques est noyé. Résultat ? L'incertitude.
On nous dit de penser en termes de surfaces d'attaque multiples. Les attaquants ne le font pas. Ils pensent en termes d'une seule surface d'attaque. Et si leur objectif est d'entrer dans votre réseau et que leur chemin est d'obtenir une identité, alors notre signal d'attaque ne devrait-il pas être enraciné dans le réseau + l'identité?
La sécurité a deux faces
Souvenez-vous de la vérité humaine. Nous voulons la sécurité. Mais la sécurité a deux facettes :
- Résilience avant compromis: empêcher les attaquants d'entrer. (C'est l'EDR.)
- Résilience post-compromission: arrêter les attaquants déjà présents. (Il s'agit de la NDR et de l'identité).
La CED est essentielle. Cela ne fait aucun doute. Mais il n'est pas infaillible. La fourche le prouve. Les NDR et les détections d'identité couvrent ce que l'EDR manque :
- Mouvement latéral à travers le trafic est-ouest.
- Abus d'identité dans les services cloud .
- Les précurseurs des ransomwares dans l'IdO et les appareils non gérés.
- Des comportements anormaux qui ne déclenchent pas de signature mais qui crient "attaquant".
Ce n'est pas de la théorie. Les RSSI du secteur de la santé l'ont fait pour protéger la sécurité des patients. Les détaillants l'ont fait pour sécuriser les points de vente et l'IdO. Les fabricants l'ont fait pour défendre les chaînes d'approvisionnement. Les résultats ? Une visibilité qu'ils n'avaient pas. Une réduction du bruit inimaginable. Et la vitesse dont ils avaient désespérément besoin.
Signal post-compromis à Speed is Everything
Car voici l'autre horrible vérité : les défenseurs sont lents. Les études montrent qu'il faut en moyenne 292 jours aux défenseurs pour identifier et contenir une attaque. Pendant ce temps, les attaquants ont besoin de moins d'une heure pour se déplacer latéralement. Pourquoi ? Parce que la vitesse est difficile.
- Recherche.
- Moniteur.
- Corréler.
- Triage.
- Alerte.
- Escalade.
- Enquêter.
- Répondre.
Les systèmes basés sur des règles ne peuvent pas suivre. Les analystes ne peuvent pas s'adapter. La charge de travail est écrasante. Seule l'IA permet d'atteindre la vitesse - en automatisant la corrélation, le triage et la hiérarchisation. En transformant le bruit en récit. En donnant aux analystes un signal d'attaque à la vitesse à laquelle les attaquants opèrent.
Le RSSI tourné vers l'avenir
Nous y voilà. Réseaux modernes, attaques modernes, problèmes modernes.
Les RSSI tournés vers l'avenir n'achètent pas de nouveaux outils à jeter au mur. Ils modifient les fondements de leur stratégie de résilience :
- Des signaux cloisonnés aux signaux unifiés du réseau et de l'identité.
- De la prévention statique au compromis assumé.
- Des règles et du bruit à l'IA comportementale qui apporte clarté et rapidité.
Parce qu'arrêter les brèches n'est plus une question de prévention parfaite. Il s'agit d'une détection et d'une réponse résilientes une fois que les attaquants sont entrés.
Ma pensée simple
J'ai dit que j'étais un penseur simple, alors finissons-en. Nous sommes humains. Nous voulons la sécurité. L'incertitude nous fait souffrir. Nous avons besoin d'arrêter les violations. Notre capacité de résilience repose sur trois éléments : Couverture + Clarté + Contrôle.
- Couverture: Réseau + Identité + Cloud + Endpoint ensemble.
- Clarté: le signal d'attaque est ancré dans le réseau et l'identité, et non dans des outils cloisonnés.
- Contrôle: Une vitesse pilotée par l'IA qui renverse le scénario de l'avantage de l'attaquant.
C'est ainsi que les RSSI tournés vers l'avenir neutralisent la fourche des attaquants.
Dernière réflexion : Pourquoi la sécurité des réseaux et des identités est l'avenir
Le réseau moderne est sans frontières. La fourche des attaquants est simple mais mortelle. L'EDR seul n'est pas suffisant. Posez-vous donc la question suivante : votre signal d'attaque est-il enraciné là où les attaquants opèrent réellement - dans le réseau et avec une identité ? Car c'est là que se trouvent la sécurité, la certitude et la résilience.
Sources :
- Présentation Gartner SRM Londres : EDR Isn't Enough - Building Modern Attack Resilience with Network + Identity (L'EDR ne suffit pas - Construire une résilience moderne aux attaques avec le réseau et l'identité)
- Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto - données sur les défaillances en matière de protection des intrusions et des endpoint
- CrowdStrike 2025 Global Threat Report - 48 minutes en moyenne entre l'infiltration et le mouvement latéral
- Vectra AI, State of Threat Detection and Response - The Defenders' Dilemma (2024, 2023) - Points de douleur des analystes SOC, incertitude et défis liés à la clarté des signaux.